- 启用并配置ESXI防火墙,仅开放必要服务(如SSH/HTTPS),通过vSphere Client定位到主机→配置→安全配置文件→服务→编辑策略实现。
- 在管理vSwitch的网络设置中,将管理接口(vmk0)限制为专用管理VLAN,并与业务网络物理隔离。
- 通过vSphere标准/分布式交换机绑定特定网卡,为管理流量配置独立物理网卡与IP子网。
- 在主机防火墙规则中限制源IP地址,仅允许跳板机或运维终端IP访问ESXi的443/902等管理端口。
- 禁用ESXi Shell和SSH服务,通过主机→操作→服务→禁用服务实现,临时需用时再启用。
- 在物理交换机层面对ESXI管理IP设置ACL,阻断外部互联网到管理网段的入站连接。